Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Controlar o acesso e proteger artefatos

Nesta página, descrevemos os serviços e recursos do Cloud de Confiance que ajudam você a proteger seus artefatos.

Criptografia em repouso

Por padrão,o Cloud de Confiance by S3NS criptografa automaticamente os dados quando estão em repouso usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de compliance específicos relacionados às chaves que protegem seus dados, crie repositórios criptografados com chaves de criptografia gerenciadas pelo cliente (CMEK).

Controle de acesso

Por padrão, todos os repositórios são particulares. Siga o princípio de segurança do privilégio mínimo e conceda apenas as permissões mínimas necessárias para usuários e contas de serviço.

Prevenção a ataques de exportação de dados

Para evitar a exfiltração de dados, use o VPC Service Controls para colocar o Artifact Registry e outros serviços do Cloud de Confiance by S3NS em um perímetro de segurança de rede.

Remover imagens não usadas

Remova imagens de contêiner não usadas para reduzir os custos de armazenamento e mitigar os riscos de usar software mais antigo. Há várias ferramentas disponíveis para ajudar com essa tarefa, incluindo o gcr-cleaner. A ferramenta gcr-cleaner não é um produto oficial do Google.

Como integrar a segurança aos processos

Integrar os objetivos de segurança das informações ao trabalho diário pode ajudar a aumentar o desempenho da entrega de software e criar sistemas mais seguros. Essa ideia também é conhecida como mudança para a esquerda, porque as preocupações, incluindo questões de segurança, são abordadas anteriormente no ciclo de vida do desenvolvimento de software (isto é, deixadas em um diagrama de programação da esquerda para a direita). A integração de segurança aos processos é um dos recursos de DevOps identificados no programa de pesquisa DORA State of DevOps.

Para saber mais, faça o seguinte:

Leia sobre a capacidade de integrar a segurança aos processos.

Considerações sobre repositórios públicos

Considere cuidadosamente os seguintes casos:

Uso de artefatos de fontes públicas
Como tornar públicos seus próprios repositórios do Artifact Registry

Como usar artefatos de fontes públicas

As seguintes fontes públicas de artefatos fornecem ferramentas que você pode usar ou dependências para suas versões e implantações:

No entanto, sua organização pode ter restrições que afetam o uso de artefatos públicos. Exemplo:

Você quer controlar o conteúdo da sua cadeia de suprimentos de software.
Você não quer depender de um repositório externo.
Você quer controlar estritamente as vulnerabilidades em seu ambiente de produção.
Você quer o mesmo sistema operacional de base em todas as imagens.

Considere as seguintes abordagens para proteger sua cadeia de suprimentos de software:

Use imagens de base padronizadas. O Google fornece algumas imagens de base que podem ser usadas.

Repositórios públicos do Artifact Registry

Para tornar um repositório do Artifact Registry público, conceda o papel Leitor do Artifact Registry à identidade allUsers.

Se todos os seus usuários tiverem contas Cloud de Confiance , limite o acesso a usuários autenticados com a identidade allAuthenticatedUsers.

Considere as seguintes diretrizes antes de tornar um repositório do Artifact Registry público:

Verifique se todos os artefatos armazenados no repositório podem ser compartilhados publicamente e não expõem credenciais, dados pessoais ou confidenciais.
Por padrão, os projetos têm cotas por usuário ilimitadas. Para evitar abusos, limite as cotas por usuário no seu projeto.

Orientações para aplicativos da Web

O OWASP Top 10 (em inglês) lista os principais riscos de segurança de aplicativos da Web de acordo com o Open Web Application Security Project (OSWAP).

Orientação para contêineres

O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.

O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.

O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.